8月31日,中国电信正式对外发布天翼云计算战略、品牌及解决方案,计划于明年正式推出云主机、云存储等系列天翼云计算产品。实际上,三大运营商都在云计算领域进行大手笔布局,这势必会推动整个云计算产业的发展。
然而,企业用户对云计算的安全防护依然心存怀疑,运营商也认为安全防护是推广云计算业务的关键。今年是云计算应用年,北京通信展也将云计算作为展会重要主题之一。在这样的时机下,《通信世界周刊》对话了专业安全厂商迈克菲(McAfee)公司中国区技术总监郑林,就“云化”数据中心所面临的安全新威胁以及防护等话题进行了深入探讨。
IDC面临“云化”新安全挑战
《通信世界周刊》:运营商IDC分为网络层和业务层,传统上IDC这两个方面面临着哪些安全风险?
郑林:网络层的安全风险主要包括:DoS/DDoS攻击、来自外部的网络攻击行为、各种僵尸/蠕虫/木马等恶意代码的侵害等。业务层的安全风险主要包括针对Web/DNS/FTP/数据库等服务器的应用层攻击、数据泄漏、身份和访问控制风险等。
《通信世界周刊》:就您了解,相比传统IDC,从网络与业务方面看“云”化的IDC将面临哪些不同的安全威胁?会出现哪些新的挑战?
郑林:从从网络层看,“云化”数据中心主要有三个挑战。一是数据中心规模越来越大,带宽越来越大,承载的业务差异化增加,重要性也越来越高,这让数据中心从外到内的的安全检测和防御需求进一步提高。二是数据中心内部通信在迅速增多。随着虚拟化等技术的应用以及数据中心网络层的扁平化趋势,内部通信量增加,并且同时需要考虑IDC内部网络的强化安全隔离。三是云化数据中心不仅需要保证不遭受外部攻击,还要保证不被黑客利用其云资源,去攻击内部其他用户和外部其他网络,即划清“边界责任”问题。
从业务层看,数据中心“云化”会带来主要两个问题。一是数据泄露的威胁更大。由于数据中心存放着较多用户的数据资源,如出现数据泄露,不再是传统的单个用户或者单个企业的损失,可能危及较多用户。二是“云池”中用户数据的审计难度加大。传统上数据中心业务单一,用户单一,现在用户数据需要数据中心管理者实时监控其被访问情况,确保其在安全使用。
协力构建云安全防护系统
《通信世界周刊》:云计算发展背景下,从业务层面看,运营商该如何应对上述IDC新挑战?
郑林:业务层的安全防护应该从网络、操作系统、虚拟化技术、数据库以及身份认证等几个方面入手。通过综合采用多宿主环境下的高速网络入侵检测和防护、动态白名单、虚拟化安全、数据库安全等多方案,并对云应用下的数据和身份信息交互预留相关安全互联和审计接口,形成综合的安全防护系统。
《通信世界周刊》:运营商亟需构建合适的“云化”IDC安全系统,在选择合作伙伴和方案方面该关注哪些环节?
郑林:在我看来,建议运营商首先选择具有丰富的云安全系统建设经验的国际化专业的安全厂商。IDC作为电信行业对外的服务窗口,对SLA以及安全防护级别要求非常高。而IDC的防护发展趋势是选择与有成熟云安全技术和虚拟化技术的安全厂商进行合作。这使得运营商在选择安全合作伙伴时,尽量选择具有相关领域经验的、国际化领先的专业安全厂商。
